配置应用控制策略
配置策略的基本要素
应用控制策略的基本要素是匹配条件和动作。匹配条件包括地址对象、应用对象、应用行为、行为参数、关键字匹配、策略生效的时间范围。
其中,地址对象、时间范围对象、关键字对象都都需要先建立好模板,策略的动作有“允许”,“拒绝”。
配置步骤:
1.进入策略>应用控制>应用控制策略,点击新建。
\
参数说明:
启用:是否启用该策略。
源地址:源地址对象或源地址对象组(目前只适用于 IPv4)。
用户:用户或用户组。
应用:应用分为 3 类,自定义应用、预定义应用组和单个的预定义应用,any表示所有应用。引用下拉框支持模糊搜索
应用行为:应用特征库库可以识别的动作,如登录、注销、下载文件等等,any 表示所有应用行为。
时间表:策略生效的时间,可以引用已配置的时间对象,always 表示所有时间。
内容匹配:没有启用则匹配内容列表不生效,启用则匹配内容列表生效。
行为参数:以上配置的应用行为所支持审计的参数。如登录的用户名,下载的文件名等等。any 表示应用行为的所有参数。
关键字:引用建立好的关键字模板。当行为参数获取到的内容包含关键字内容(大小写敏感),则匹配成功。any 代表匹配任何内容。
匹配类型:匹配类型分别包含和不包含两种。
匹配内容列表:根据行为参数+关键字+匹配类型的组合为一组,最多可以配置十组,匹配时只有都满足这些组合才算匹配成功
处理动作:对符合匹配条件的数据流执行的动作。
日志:日志开关,该日志开关和日志模块的日志开关都开启后才生效。
- 配置完毕后,点击提交。
关键字配置
关键字模板可以在应用控制模板里的关键字下拉菜单里直接新建引用,也可以在关键字模块优先创建。
配置步骤:
- 进入策略>应用控制>关键字,如下图:
参数说明:
名称:关键字模板的名字。
描述:用户可以配置对关键字的描述信息。
关键字:要进行匹配的关键字,大小写敏感。
关键字列表:最多可配置 128 条关键字,匹配时只要满足一条关键字即算匹配成功。
- 配置完毕后,点击提交。
启用应用控制策略
配置好的应用控制策略必须启用才能使其生效。
配置步骤:
- 进入策略>应用控制>应用控制策略,如下图:
- 勾选启用可以启用一条策略。
编辑应用控制策略
配置步骤:
- 进入策略>应用控制>应用控制策略,对某条存在的应用控制策略点击策略 ID 号进入编辑界面。
- 可以对应用控制策略里面的内容进行编辑修改,修改完毕后点击提交。
删除应用控制策略
配置步骤:
- 进入策略>应用控制>应用控制策略,如下图:
- 点击
删除策略。
51.2.6 调整应用控制策略的顺序
通过移动策略可以调整应用控制策略的顺序,从而使位置在前的策略优先匹配。
配置步骤:
- 进入策略>应用控制>应用控制策略,如下图:
- 点击
移动策略。
策略 ID:需要被移动的策略的 ID 号。
移动到(策略 ID):参考策略的 ID 号。
之前:移动策略到参考策略之前。
之后:移动策略到参考策略之后。
- 点击提交。
查询应用控制策略
查询步骤:
- 进入策略>应用控制>应用控制策略,如下图:
- 右上角的过滤框
过滤框可以根据页面配置的任何信息过滤。
例如:过滤 http
例如:过滤策略 ID
常见故障分析
常见故障:策略没有命中
